کد QR مطلبدریافت لینک صفحه با کد QR

دوکو و كشف حمله‌های هدفمند به اهداف ایرانی و سودانی

سايت خبری ايتنا , 10 آبان 1390 ساعت 14:56

ايتنا - یافته‌ها روی هم رفته به ما امکان می‌دهد که فرض کنیم کارکردهای این برنامه مخرب را می‌توان بسته به هدف خاص مورد حمله، تغییر داد.




متخصصین آزمایشگاه کسپرسکی به طور پیوسته به تحقیقات خود روی برنامه مخرب جدید Duqu ادامه می‌دهند.
این برنامه ویژگی‌های مشترکی با کرم بدنام استاکس‌نت دارد که در گذشته تأسیسات صنعتی را در ایران هدف قرار داد.

گرچه هدف نهایی ایجادکننده‌های این تهدید سایبری جدید هنوز معلوم نیست، تاکنون مشخص شده است که دوکو یک ابزار جهانی است که برای انجام حمله‌های هدفمند به تعداد محدودی از اهداف استفاده می‌شود و می‌توان آن را بسته به کار مورد نظر تغییر داد.

به گزارش ایتنا از موسسه دیده بان آی تی، روابط عمومی کسپرسکی در ایران، چند ویژگی این کرم در اولین مرحله تجزیه و تحلیل دوکو توسط متخصصین کسپرسکی آشکار شد.
اول اینکه، در هر یک از گونه‌هاي شناسایی شده این برنامه مخرب، درايورها و راه‌اندازهاي مورد استفاده برای آلوده کردن سیستم‌ها تغيير داده شده بود. در یک مورد، برنامه راه‌اندازی از یک امضای دیجیتال جعلی استفاده می‌کرد و در موارد دیگر، برنامه راه‌اندازی اصلاً امضا نداشت.
دوم اینکه، معلوم شد اجزای دیگري از دوکو احتمالاً وجود دارند، اما هنوز شناسایی نشده‌اند. این یافته‌ها روی هم رفته به ما امکان می‌دهد که فرض کنیم کارکردهای این برنامه مخرب را می‌توان بسته به هدف خاص مورد حمله، تغییر داد.

تشخيص موارد بسیار معدود آلودگی (در لحظه انتشار اولین بخش از تحقیق آزمایشگاه کسپرسکی درباره دوکو فقط یک مورد ردیابی شد) مسئله‌ای است که در كنار مشابهت‌ها، دوکو را از استاکس‌نت متمایز می‌سازد.
از زمان شناسایی اولین نمونه‌های این برنامه مخرب، چهار مورد جدید آلودگی به لطف شبکه امنیتي ابري کسپرسکی ردیابی شد. محل یکی از این موارد کامپیوتر یک کاربر در سودان بود و سه مورد دیگر در ایران شناسایی شد.

در هر یک از این چهار مورد از آلودگی به دوکو، از نوع يكساني از برنامه راه‌انداز مورد نیاز برای آلودگی، استفاده شده بود. مهم‌تر اینکه، در ارتباط با یکی از آلودگی‌های ایرانی، دو حمله شبکه‌ای شناسایی شد که از آسیب‌پذیری MS۰۸-۰۶۷ سوءاستفاده مي‌كردند.

این آسیب‌پذیری توسط استاکس‌نت و یک برنامه مخرب قدیمی‌تر دیگر به نام Kido نیز استفاده شد. اولین حمله از این دو حمله شبکه‌ای در چهارم اکتبر روی داد و حمله دیگر در شانزدهم اکتبر صورت گرفت و هر دو حمله از یک نشانی IP یکسان که سابقاً به یک ارائه‌دهنده خدمات اینترنتی در آمریکا تعلق داشت، نشأت می‌گرفتند. اگر فقط یک حمله از این دست وجود داشت، ممکن بود به عنوان فعالیت عادی کیدو نادیده گرفته شود، اما دو حمله متوالی وجود داشت: این نکته حاکی از احتمال یک حمله هدفدار به یک هدف در ایران است.
همچنین این امکان وجود دارد که در طی عملیات، از سایر آسیب‌پذیری‌های نرم‌افزاری نیز استفاده شده باشد.

الکساندر گوستف، متخصص ارشد امنیتي آزمایشگاه کسپرسکی، در توضیح یافته‌های جدید گفت: «با وجود این که محل سیستم‌های مورد حمله قرار گرفته از طریق دوکو در ایران شناسایی شده است، تاکنون شواهدی مبنی بر اینکه این سیستم‌ها، سیستم‌های مرتبط با برنامه‌هاي صنعتی یا هسته‌ای هستند، به دست نیامده است. همچنین نمی‌توان تأیید کرد که هدف برنامه مخرب جدید با هدف استاکس‌نت یکسان است. با این وجود، واضح است که همه آلودگی‌های صورت گرفته از طریق دوکو در نوع خود منحصر به فرد هستند. این اطلاعات به ما امکان می‌دهد که با اطمینان بگوییم از دوکو برای حمله‌های هدفمند به اهداف از پیش تعیین‌شده استفاده می‌شود.»

نتایج مفصل تحقیق جدید روی دوکو را در Securelist.com ببینید.
 


کد مطلب: 20152

آدرس مطلب: https://www.itna.ir/news/20152/دوکو-كشف-حمله-های-هدفمند-اهداف-ایرانی-سودانی

ايتنا
  https://www.itna.ir